Enclave9

Es bueno pensar por uno mismo... créeme

Estás en: Portada / Scriptum
Información Scriptum: Sección que sirve de almacén para manuales, guías, trucos y consejos relacionados con el universo digital.
Categorías: Linux, Windows, Internet.

Cómo ignorar peticiones ping configurando /proc

  • Autor Zeles Cabal
  • Fecha 2006-02-25
  • Artículo Linux

Una máquina conectada a una red dialoga con sus vecinas, de hecho mantienen tales conversaciones que de enterarse el gremio de las verduleras se irían todas estas a la huelga sin pensarlo.

Como en toda conversación hay temas importantes y otros que lo son menos, fragmentos que no aportan nada y que a veces hubiera convenido suprimir del diálogo. En el mundo de los ordenadores en red, estas palabras insignificates serían las peticiones ping; su función: determinar si una máquina está conectada y localizable.

Estas peticiones ping son útiles para el diagnóstico de problemas en una red, pero cumplen también un papel importante en la realización de un ataque remoto a un ordenador; ¿por qué?, precisamente por su función: detectar máquinas. ¿Qué ocurriría entonces si no contestáramos a una petición ping?, pues que estaríamos ocultando nuestro sistema, y ¿para qué molestarse en atacar un ordenador que no está conectado?, pues eso.

Esto se consigue colocando un uno en los ficheros de configuración del núcleo asociados con la omisión de respuesta a peticiones ping:

  • echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
  • echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Nuestro ordenador será un poquito menos sociable, pero, en cambio, ganará en seguridad.

Tened en cuenta que, de no hacer nada más, esta configuración desaparecerá al reiniciar, así que nos toca automatizar esta escritura de unos durante la carga del sistema. Una forma de hacerlo sería incluir esas dos órdenes en alguno de los guiones interpretados durante los niveles de ejecución en los que no queramos responder a estas peticiones ping.

Una última cosilla, si no encontráis el directorio /proc, una de dos, o no lo habéis montado1 todavía o vuestro núcleo no está compilado con la opción CONFIG_PROC_FS activada, y tocaría por tanto una estupenda sesión de recompilación, en la que activaríamos también, ya que estamos, CONFIG_SYSCTL2 para no tener que andar reiniciando con cada cambio.

Notas:
[1] mount -t proc proc /proc.
[2] man sysctl.

Remitir un comentario






Los comentarios se archivan con el atributo nofollow. Los rastreadores catalogadores ignorarán cualquier enlace que aparezca en ellos.
Código textil

Formato:
*letra negrilla*
_letra bastardilla_
+letra subrayada+
-letra tachada-
??cita??
^superíndice^
@código@
Enlaces:
"texto":http://dirección
Imágenes:
!http://dirección!
Siglas:
SDE(Siglas De Ejemplo)

Las etiquetas HTML se descartan.

Búsqueda

Entradas recientes

Últimos comentarios

Pasarelas

Distribución XML
Atom · RSS 0.92 Agregadores Directorios
Validación
Atom, CSS, RSS, XHTML

© 2009, Zeles Cabal. Todos los derechos reservados.